北, 정찰총국 제3국 소속 ‘3대 해커 조직’ 정보 획득·자금탈취 등 목적 수법 고도화 가상화폐 2022년만 6억3000만弗 탈취 추정
지난해 발생한 보안인증 프로그램 해킹 사건이 북한 연계 해커그룹 ‘라자루스’의 소행으로 드러나면서 북한의 사이버 해킹 능력에 관심이 쏠리고 있다. 북한은 해킹을 통해 정보·자금을 탈취하고자 사이버 능력을 강화하고 관련 조직을 운영하는 것으로 알려졌다. 국방부는 ‘2022 국방백서’에서 “북한이 6800여명의 사이버전 인력을 운영하며 최신 기술 연구개발을 지속하는 등 사이버전력 증강에 노력하고 있다”고 분석했다.
최근 공개된 유엔 안전보장이사회 산하 대북제재위원회 전문가패널 보고서에 따르면, 북한에서 가장 위협적인 사이버 해킹 조직은 정찰총국 제3국(기술정찰국) 소속 라자루스, 김수키, 안다리엘이다. 이들 조직은 다른 사람이나 단체로 위장해 백도어 멀웨어(악성 소프트웨어)를 뿌리거나 스피어피싱(특정 개인 또는 단체를 노린 사이버 피싱) 공격을 감행해 정보와 가상화폐를 훔쳤다.
2009년부터 본격적으로 활동을 시작한 라자루스는 북한의 정보·가상화폐 탈취에 앞장서는 대표적 조직이다. 미 재무부는 2019년 발간한 대북제재보고서에서 2017년에 전 세계 컴퓨터에 랜섬웨어를 심어 큰 피해를 입힌 워너크라이 사건에 라자루스가 개입했다고 지적했다. 당시 150개국에서 랜섬웨어 악성코드 감염 사례가 발견됐고, 30만대의 컴퓨터가 셧다운됐다. 2014년 미국 소니픽처스 해킹 사건 주범으로도 지목되어 있다. 지난해 6월에는 우크라이나 정부 기관을 상대로 지식재산을 훔치려고 시도했다.
2014년 한국수력원자력 해킹 사건 주범으로 지목되는 김수키는 ‘애플시드’라는 백도어 멀웨어를 구매 주문서 등으로 위장해 군사 기지 보수업체와 원자력발전소 관련회사 등에 배포, 피해자의 계정 정보와 컴퓨터 파일을 빼냈다. 2016년 한민구 당시 국방부 장관 집무실 개인 컴퓨터와 국방부 인트라넷을 해킹했던 안다리엘도 방위산업체, 정치기구, 연구소 등에 대한 해킹을 지속하는 것으로 알려졌다.
북한 해킹 조직은 가상화폐 절도에도 적극적으로 나서고 있다. 지난해 6월부터 라자루스가 배포한 ‘블록스홀더’라는 가짜 가상화폐 앱에는 ‘애플제우스’라는 멀웨어가 포함됐다. 이 멀웨어에 감염되면 해커가 이용자들의 가상화폐를 훔칠 수 있다. 라자루스 하위 조직인 블루노로프도 유명 은행이나 벤처캐피털 회사를 모방한 가짜 도메인을 활용해 피해자들의 가상화폐를 중간에서 가로채려 했다. 안다리엘도 랜섬웨어 공격으로 가상화폐를 갈취한 사례가 포착됐다. 이렇게 훔친 가상화폐는 믹서(가상화폐를 쪼개 누가 전송했는지 알 수 없도록 만드는 기술) 기업을 통해 돈세탁됐다. 유엔 안보리 대북제재위원회 전문가패널 보고서는 한국 정부 분석을 인용해 북한이 이 같은 해킹으로 지난해 6억3000만달러(8272억원)의 가상화폐를 탈취한 것으로 추정했다.